東京工科大学コンピューターサイエンス学部の小出です。

前回の記事の続きで今回はIntuneについて紹介していきます

Intune (Microsoft Intune)とは？

Intuneは、Microsoftが提供する企業向けIT資産管理ツールであり、
MCMと同じく、企業内の膨大な数のパソコンを管理することができます。

MCMとの違いはオンプレミス環境ではなく、
クラウドベースの端末管理ソリューションです。

またインターネットベースの管理であることから、
Intuneさえあれば社内ネットワーク環境でも社外ネットワーク環境でもどちらでも
管理することが可能になっています。

Intuneの主な機能-モバイルデバイス管理

モバイルデバイス管理とは、組織が所有する、
あるいは従業員が業務に利用するスマートフォンやタブレットなどの
モバイルデバイス（iOS、Android、Windows、macOSなど）を、
一元的に管理・構成・保護するための機能を備えています。

Intuneが提供する数ある機能の中でも、
管理者がデバイスのセキュリティとコンプライアンスを担保するために
最も基礎的かつ重要な機能です。

Intuneのモバイルデバイス管理機能は、以下の3つの側面に焦点を当てています。

デバイスの登録と初期設定

デバイス登録

Intuneで端末を管理するには最初にデバイスを登録する必要があります。

1枚目：Intuneの接続画面

WindowsPCの設定から1枚目のような画面があると思います。
1枚目の「職場または学校にアクセスする」からIntuneに接続することが可能です。

接続を行った後WebのIntune管理センターから
デバイスが登録されているか確認することができます。

実際の画面で説明していきます。

2枚目：Windowsデバイス一覧

上記の画像はWindowsデバイスになっていて、登録したデバイスがここで一覧となっています。

3枚目：プラットフォーム一覧

Windowsだけではなく、iOSやiPadOS、macOS、AndroidやLinuxなどの他社製品のOSを管理することが可能になっています。

Intune-自動登録（MDM　Automatic Enrollment）

Intuneにはデバイスを自動登録する機能があり、作業を自動化することができます。

ユーザーがPCに組織アカウントでログインした際に、
バックグラウンドで自動的にIntuneへの登録を行うことができます。

1枚目の画像より、職場または学校にアクセスする際に、接続が自動で行われます。

ユーザーが手動で管理アプリをインストールして設定するといった
複雑な操作をする必要がなくなり、
利用者も管理者も作業が少なくなるといったメリットがあります。

Windows Autopilot

Ｗindows Autopilotは、新しいPCの初期セットアップ（キッティング）を
自動化する仕組みになっています。

従来のキッティングは「PCの金型（マスターイメージ）」を作る作業です。
設定、セキュリティポリシー、アプリケーション、ドライバー
などを詰め込んだイメージファイルを用意し、それを各PCに流し込むことで、
どのPCでも同じ環境がすぐ使える状態を作り出せます。

イメージとしては以下の画像の通りです。

Windows Autopilotのフローでは、ユーザーが新品のPCを開封して電源を入れ、
組織のネットワークに繋ぐだけで、必要な設定やアプリがクラウドから自動で流し込まれます。

従来の「マスターイメージ方式」にはなかった以下のメリットが生まれます。

• 工数削減： 膨大な手間がかかるマスターイメージの作成・更新が不要に。
• 場所の自由度： インターネットがあれば、オフィス以外でも設定を適用可能。
• ゼロタッチ： 管理者が一度もPCに触れることなく、工場から直接ユーザーへ配送。

ユーザーはPCが届いてすぐに、自分専用の業務環境を手にすることができるのです。

デバイス構成とポリシー運用

デバイス構成プロファイル

簡単にまとめるとデバイスの設定を自動的に配るための設計図です。

• Wi-Fi設定
• VPN
• 壁紙
• ブラウザのホームページ

端末のあらゆる設定を管理者がIntuneの設定画面より統一することができます。
具体的な例として、

• 「カメラの使用を禁止する」
• 「社内Wi-Fiに自動接続させる」
• 「特定の証明書をインストールさせる」

といった制御を行うことができます。

1台ずつ手作業で設定する必要がないので、効率が良くなります。

パスワードポリシー

パスワードのルールを決める設定です。

デバイスにロックをかける際のパスワードの条件を強制します。

具体的な例として

• 最低8文字以上
• 英数字を混ぜる
• 1か月ごとに変更する
• 簡単なパスワードを禁止する

といったルールを決めることができます。

これによりユーザーが脆弱なパスワードを使うことを防ぎ、
紛失時の不正アクセスリスクを減らすことが可能になっています。

セキュリティ対策とリモート操作

コンプライアンスポリシー

デバイスが「安全な状態」かどうかを判定する基準です。

• 「OSが最新か」
• 「パスワードが設定されているか」
• 「ウイルス対策が有効化されているか」

といったルールを決め、
管理している端末がその基準を満たしているかチェックします。

基準を満たしていないデバイスを「非準拠」と判定し、
社内データへのアクセスを自動的にブロックすることができます。

例えとしては、会社に入るための社員証・入館証のようなものですね。

リモートワイプ

離れた場所からデバイスのデータを消去する機能です。

デバイスの盗難や、紛失して見つかる見込みがない場合に、中の情報をすべて消去して情報漏洩を防ぎます。

• ワイプ（フルワイプ）：工場出荷状態に戻す操作
• リタイア（選択的ワイプ）：会社のアプリやメール設定など、業務データだけを消去します。

まとめ

Intuneを利用することですべてのデバイスで一貫したセキュリティポリシーを適用することが可能になり、デバイスの初期設定やアプリの配布なども行うことができます。MCMと比較して、管理する対象や幅などが多くなりましたが、MCMと違い細かく設定が行えない点などがあります。

そのうえでIntuneとMCMでの共同管理も可能なため、多様にシステムを構築・管理することが可能になっています。

Intuneを利用することで、OSやプラットフォームに関わらずすべてのデバイスで一貫したセキュリティポリシーを適用することが可能になります。また、デバイスの初期設定やアプリの配布などもクラウドベースで行うことができます。